amazon-web-services - 如何将嵌套安全组添加到另一个安全组并使其与应用程序负载均衡器一起使用?
问题描述
我有一个带有 SG (ALB_SG) 的 ALB,我只想授予对已在同一 VPC 中的另一个 SG (Whitelist_SG) 中定义的 IP 列表的访问权限。
我为 ALB_SG 创建了 2 个(相关的)入口规则。
- 来自 Whitelist_SG 的 443 个入口
- 来自 Whitelist_SG 的 80 个入口
在 Whitelist_SG 中,我有一个来自允许所有端口的相关 CIDR 块的入口列表。
当我访问 ALB 时,我正在超时(SG 不良的迹象)。如果我将 Whitelist_SG 直接添加到 ALB,它就可以工作。
为了使嵌套规则起作用,我缺少什么?
顺便说一句,我知道当我通过嵌套规则将 Whitelist_SG 添加到 EC2 实例时,我还必须将其添加到实例网络适配器。我假设它在这里是这样的。
解决方案
AWS 安全组的工作方式与您尝试使用它们的方式不同。没有像您正在尝试的“嵌套”或“链接”安全组的概念。
从另一个安全组引用一个安全组的能力仅适用于允许一个安全组的成员访问另一个安全组的成员。安全组成员资格仅适用于在您的 VPC(或对等 VPC)中运行的 EC2 实例、Lambda 函数等资源。
例如,将您的笔记本电脑的 IP 地址添加到安全组 A 只会让您的笔记本电脑访问安全组 A 直接连接的任何内容。它不会使您的笔记本电脑成为安全组 A 的“成员”。
推荐阅读
- kubernetes - 网络策略白名单 IP
- scala - Scala instanceOf vs 模式匹配和复合类型
- java - 在 Spring Boot 应用程序中提供 Angular 静态内容
- php - 自定义 wordpress 主题,图片不显示?
- php - Laravel 5.6 登录尝试失败 - 登录提交时返回方法 RequestGuard::attempt 不存在
- python - 我不知道如何在数据库中激活注册关系中的外键
- bullseye - 如何使用静态内联函数
- javascript - Bootstrap 选项卡需要单击两次才能在 iPhone 上使用流星进行更改
- javascript - 从javascript中的类数组中获取对象
- node.js - 欢迎留言 Bot Framework v4 nodejs